3. 屬性證書

PMI使用屬性證書表示和容納權(quán)限信息，對(duì)權(quán)限生命周期的管理是通過管理證書的生命周期實(shí)現(xiàn)的。屬性證書是一種輕量級(jí)的數(shù)據(jù)體，這種數(shù)據(jù)體不包含公鑰信息，只包含證書持有人ID、發(fā)行證書ID簽名算法、有效期、屬性等信息等。屬性證書的申請(qǐng)、簽發(fā)、注銷、 驗(yàn)證流程對(duì)應(yīng)著權(quán)限的申請(qǐng)、發(fā)放、撤銷和使用驗(yàn)證的過程。

相比較，公鑰證書是將一個(gè)標(biāo)識(shí)和公鑰綁定，以此表明用戶的身份；而屬性證書( AC)則是將一個(gè)標(biāo)識(shí)和一個(gè)角色、權(quán)限、或者屬性通過數(shù)字簽名進(jìn)行綁定，以此表明用

戶的角色、權(quán)限或者屬性。和公鑰證書一樣，AC能被分發(fā)和存儲(chǔ)或緩存在非安全的分布式環(huán)境中，具有不可偽造、防竄改的特性。同時(shí)，屬性證書的分發(fā)以及應(yīng)用具有如下特點(diǎn)：

1)獨(dú)立的發(fā)行機(jī)構(gòu)

由于把屬性信息從身份信息中分離出來，單獨(dú)制作成屬性證書，這樣屬性授權(quán)過程較為獨(dú)立，且對(duì)應(yīng)用有針對(duì)性。在實(shí)踐中，屬性證書頒發(fā)機(jī)構(gòu)和用戶公鑰證書頒發(fā)機(jī)構(gòu)獨(dú)立建設(shè)。

2)屬性證書與用戶證書相關(guān)

屬性證書基于用戶身份頒布，屬性證書不單獨(dú)使用，在驗(yàn)證用戶身份時(shí)將查找用戶公鑰證書，即屬性證書和公鑰證書建立關(guān)聯(lián)關(guān)系。

3)同一個(gè)身份可以有多個(gè)屬性證書

一個(gè)系統(tǒng)中，每個(gè)用戶僅設(shè)置一個(gè)合法身份，但是屬性證書則靈活得多，同一個(gè)身份根據(jù)應(yīng)用的需要可以分發(fā)多個(gè)屬性證書。

4)存儲(chǔ)方式靈活

屬性證書可以分發(fā)給用戶，由用戶存儲(chǔ)在磁盤上或者USBKEY上，或者委托給系統(tǒng)進(jìn)行統(tǒng)一存儲(chǔ)和管理而不必分發(fā)給用戶。由系統(tǒng)托管屬性證書時(shí)，應(yīng)用系統(tǒng)根據(jù)用戶的身份直接從屬性庫(kù)中獲得用戶相應(yīng)的屬性證書，不需要建立相應(yīng)的協(xié)議，屬性證書的使用和變更對(duì)用戶是透明的。

5)時(shí)效短

屬性證書的有效期根據(jù)用戶屬性來設(shè)置，而不必和用戶公鑰證書一樣的有效期。由于用戶屬性，如臨時(shí)進(jìn)出機(jī)房權(quán)限，可以很短，因此可在頒發(fā)屬性證書時(shí)設(shè)置很短的有效期。由此帶來的好處是系統(tǒng)屬性證書撤銷列表方面的維護(hù)開銷較小。

6)基于屬性實(shí)施訪問控制

應(yīng)用屬性證書后，在存取控制方面不再基于用戶身份，取而代之的是基于其擁有屬性來決定其對(duì)某一資源或服務(wù)是否擁有訪問權(quán)。這樣應(yīng)用程序中訪問控制規(guī)則可以簡(jiǎn)單地被定義成按屬性來決定訪問權(quán)。這種方式相對(duì)更簡(jiǎn)單、更易理解，并且更易維護(hù)。